Integritetspolicy för QRGeno av Paperphyte AB
Senast uppdaterad: 2026-06-14
1. Inledning och ansvar för behandlingen av dina personuppgifter
Paperphyte AB ("Bolaget", "vi", "oss") värnar om skyddet av dina personuppgifter och eftersträvar att säkerställa en hög nivå av dataskydd i enlighet med tillämplig dataskyddslagstiftning, inklusive Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR"). Denna integritetspolicy beskriver hur vi samlar in, behandlar, lagrar och skyddar personuppgifter i samband med användning av våra tjänster.
2. Parter och ansvar för behandlingen av dina personuppgifter
Paperphyte AB är personuppgiftsansvarig för den behandling av personuppgifter som sker inom ramen för Bolagets verksamhet. Detta innebär att Bolaget ansvarar för att behandlingen sker i enlighet med gällande lagstiftning samt att dina rättigheter som registrerad tillgodoses. I vissa fall kan Bolaget anlita personuppgiftsbiträden som behandlar personuppgifter för Bolagets räkning. Sådana biträden är bundna av personuppgiftsbiträdesavtal.
3. Vilka kategorier av personuppgifter behandlar vi, för vilket ändamål, lagringsperiod samt på vilken rättslig grund baserar vi vår behandling av personuppgifterna?
Bolaget behandlar personuppgifter såsom kontaktuppgifter (namn, e-postadress), kontoinformation för administratörer (företagsnamn, organisationsnummer, momsregistreringsnummer), teknisk information (IP-adress, enhetskategori, anonymiserad user-agent), geografisk information härledd från IP-adressen (land samt stad/region för kunder på betalplaner; uppslagning från IP till land sker lokalt på våra servrar med hjälp av den inbäddade databasen MaxMind GeoLite2 — ingen IP-adress överförs till MaxMind), betalningsuppgifter som behandlas via Mollie, leveransuppgifter för trycksaker (när Kunden lagt en tryckbeställning via Tjänsterna), inlämningsuppgifter från spärrar (e-postadress, eller faktum att lösenord angivits) där Kunden har konfigurerat sådana regler på sin QR-kod, kontaktformulärsmeddelanden (namn, e-post, meddelandeinnehåll) som behandlas via Mailgun, samt övrig användardata kopplad till våra tjänster. Lagring av personuppgifter sker endast så länge det är nödvändigt för att uppfylla de ändamål för vilka uppgifterna samlades in, eller så länge som krävs enligt tillämplig lag eller myndighetsbeslut, inklusive Bokföringslagen (1999:1078).
3.1 Hantera beställning och köp av tjänster
Ändamål: Att möjliggöra hantering av beställningar, fakturering och betalning. Kategorier av personuppgifter: Namn, kontaktuppgifter, betalningsinformation. Rättslig grund: Fullgörande av avtal. Lagringsperiod: Uppgifterna lagras under avtalstiden samt därefter i upp till sju (7) år i enlighet med tillämplig bokföringslagstiftning.
3.2 Tillhandahållande av tjänster
Ändamål: Att leverera och administrera Bolagets tjänster. Kategorier av personuppgifter: Kontouppgifter, användardata, scananalys (impressions). Rättslig grund: Fullgörande av avtal. Lagringsperiod: Kontodata sparas under avtalstiden samt upp till tolv (12) månader efter avtalets upplösning, om inte längre lagring krävs enligt lag eller för att fastställa, göra gällande eller försvara rättsliga anspråk. Scananalys (impressions) och inlämningsuppgifter sparas för närvarande obegränsat enligt rimligt bruk, tills Kunden begär radering. Kunden kan begära tidigare radering av dessa uppgifter genom att kontakta Bolaget via vårt kontaktformulär; självbetjänad radering från instrumentpanelen erbjuds för närvarande inte.
3.3 Lagring av kundens data efter uppsägning av avtal
Ändamål: Att uppfylla rättsliga förpliktelser samt möjliggöra återställning av tjänster. Kategorier av personuppgifter: Kunddata, användargenererat innehåll. Rättslig grund: Rättslig förpliktelse samt berättigat intresse. Lagringsperiod: Upp till tolv (12) månader efter avtalets upphörande, om inte annat följer av lag eller särskilda avtal.
3.4 Säkerhetsändamål
Ändamål: Att förebygga, upptäcka och utreda säkerhetsincidenter. Kategorier av personuppgifter: Loggdata, IP-adress. Rättslig grund: Berättigat intresse. Lagringsperiod: Loggar sparas normalt i upp till tolv (12) månader, om inte längre lagring krävs för att utreda säkerhetsincidenter.
3.5 Tjänst- och produktutveckling
Ändamål: Att analysera användning och förbättra tjänster. Kategorier av personuppgifter: Användningsdata, teknisk information. Rättslig grund: Berättigat intresse. Lagringsperiod: Uppgifterna behandlas i avidentifierad eller aggregerad form där så är möjligt och lagras i upp till tjugofyra (24) månader.
3.6 Marknadsföring
Ändamål: Där Kunden uttryckligen samtyckt till det, att informera om produktnyheter, uppdateringar och erbjudanden från Paperphyte AB. Kategorier av personuppgifter: Kontaktuppgifter (namn, e-postadress). Rättslig grund: Samtycke eller, för befintliga kunder, berättigat intresse med tydlig avregistrerings-länk i varje meddelande. Lagringsperiod: Uppgifter behandlas till dess att samtycke återkallas eller invändning mot behandlingen sker. Kommentar om nuläget: I skrivande stund använder Bolaget inte tredjeparts marknadsförings- eller annonseringsspårare och bedriver inte beteendebaserad marknadsföring. Om vi inför sådana verktyg uppdaterar vi denna policy och inhämtar nödvändigt samtycke innan icke-nödvändig tredjepartsspårning aktiveras.
3.7 Nyhetsbrev och utskick
Ändamål: Att skicka produktnyhetsbrev och andra produktrelaterade utskick, när du uttryckligen prenumererat. Kategorier av personuppgifter: E-postadress (samt, när sådan angivits, namn). Rättslig grund: Samtycke. Lagringsperiod: Uppgifterna behandlas till dess att samtycket återkallas. Kommentar: I skrivande stund finns ingen publik nyhetsbrevsregistrering på plattformen. Detta avsnitt börjar gälla i samband med att en sådan kanal lanseras.
4. Inhämtning av dina personuppgifter
Personuppgifter samlas in direkt från dig i samband med registrering, användning av tjänster samt via automatiserade tekniker såsom cookies och liknande spårningstekniker.
5. Vad händer om du väljer att inte tillhandahålla dina personuppgifter?
Om du väljer att inte tillhandahålla nödvändiga personuppgifter kan Bolaget vara förhindrat att ingå avtal med dig eller att tillhandahålla vissa eller samtliga av sina tjänster.
6. Med vem delar vi dina personuppgifter?
Bolaget delar endast personuppgifter med de underbiträden som är nödvändiga för att driva Tjänsterna, samtliga bundna av databehandlingsavtal enligt artikel 28 GDPR. Våra nuvarande underbiträden är: • Amazon Web Services (AWS) — Infrastruktur, applikationsdrift och lagring (eu-north-1, Stockholm) • Auth0 (Okta-koncernen) — Autentisering och identitet • Mollie B.V. — Betalningshantering (Nederländerna) • CloudPrinter ApS — Tryckproduktion och leverans av trycksaker som beställts via Tjänsterna (Danmark) • Sanity.io — Content delivery för marknadsförings- och juridiska sidor samt produktkatalog (EU-region) • Mailgun (Sinch Email) — Transaktionell e-post för kontaktformuläret (Mailgun EU API) • Vercel Inc. — Hosting och global edge-leverans av den publika webbplatsen och webbappen (USA, med edge-noder inom EU). Behandlar IP-adresser och förfrågningsmetadata för routing, cachning och DDoS-skydd • Google LLC — Tillhandahåller Google Fonts (fonts.googleapis.com / fonts.gstatic.com) som används för typografi på den publika webbplatsen. Tar emot besökarens IP-adress och User-Agent när en typsnittsfil hämtas (USA) • InnoCraft Ltd — Tillhandahåller Matomo Cloud-webbanalys för den publika webbplatsen (Nya Zeeland, omfattas av ett adekvansbeslut från Europeiska kommissionen). Används endast med besökarens samtycke; behandlar anonymiserad IP-adress, besökta sidor, hänvisare och enhets-/webbläsartyp Vi använder Matomo (Matomo Cloud, tillhandahållet av InnoCraft Ltd) för integritetsvänlig webbanalys på vår publika webbplats, som laddas endast efter att besökaren har lämnat sitt samtycke (artikel 6.1 a GDPR) och aldrig på sidor kopplade till dynamiska QR-koder. Besökaren kan återkalla eller förnya sitt samtycke när som helst via funktionen "Hantera cookies" i webbplatsens sidfot. Vi använder inte Google Analytics och delar inte personuppgifter med annonsplattformar (såsom Google Ads, Facebook Ads eller LinkedIn Ads). Om detta ändras uppdaterar vi denna policy och inhämtar samtycke där så krävs. Utöver ovanstående kan Bolaget komma att dela uppgifter med banker, revisorer, skattemyndigheter eller andra myndigheter där så krävs enligt lag.
7. Användning av spårningsteknik och profilering
Vid användning av Bolagets tjänster, inklusive dynamiska QR-koder, kan viss teknisk information samlas in automatiskt. När en besökare följer omdirigeringen för en dynamisk QR-kod registreras följande information och kopplas till besöket (impressionen): • IP-adress • Geografisk plats: land härlett från IP-adressen; stad och region registreras dessutom för kunder på betalplaner • Enhetskategori (mobil, surfplatta, desktop) och anonymiserad user-agent • Hänvisare (när webbläsaren tillhandahåller sådan) • Tidsstämpel för scanningen När QR-kodens ägare uttryckligen aktiverat precise-geo-insamling för den specifika QR-koden (en opt-in-inställning per QR) tillfrågas dessutom besökarens webbläsare om GPS-koordinater (latitud, longitud, noggrannhetsradie). Besökaren ser webbläsarens vanliga behörighetsdialog och kan neka; ett nekande påverkar inte själva omdirigeringen. När Kunden har konfigurerat en e-postspärr eller lösenordsspärr (gate) på en QR-kod registreras den e-postadress (eller faktum att lösenord angivits) som besökaren anger innan omdirigeringen som inlämningsuppgifter (gate submission). Kunden kan exportera dessa uppgifter på Enterprise-planen. Informationen lagras som en del av impressionen och används av QR-kodens ägare för att förstå när, varifrån och med vilken enhet koden skannats. Behandlingen är nödvändig för att fullgöra avtalet med den Kund som skapade QR-koden (artikel 6.1 b GDPR). Inga spårningscookies sätts på själva omdirigeringen. Övrig teknisk information (serverloggar, felrapporter) används för analys, säkerhet och förbättring av tjänster, på grund av berättigat intresse. Lagringsperiod — impressioner och inlämningsuppgifter: sparas för närvarande obegränsat enligt rimligt bruk, tills Kunden begär radering. Att ta bort ditt administratörskonto från instrumentpanelen (se avsnitt 8) anonymiserar din kontoinformation och mjukraderar de QR-koder du äger, men raderar inte i sig de impressionsuppgifter som tidigare genererats av dessa koder; för att begära radering av impressionsuppgifter, kontakta oss via kontaktformuläret. Serverloggar sparas normalt i upp till tolv (12) månader om inte längre lagring krävs för att utreda en säkerhetsincident.
8. Dina rättigheter som registrerad
I enlighet med GDPR har du följande rättigheter: Rätt till tillgång – Du har rätt att begära information om vilka personuppgifter vi behandlar om dig. Rätt till rättelse – Du har rätt att begära att felaktiga eller ofullständiga uppgifter rättas. Rätt till radering ("rätten att bli bortglömd") – Du har rätt att begära att dina personuppgifter raderas under vissa förutsättningar. Rätt till begränsning av behandling – Du har rätt att begära att behandlingen av dina personuppgifter begränsas. Rätt till dataportabilitet – Du har rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Rätt att invända – Du har rätt att invända mot behandling som sker med stöd av berättigat intresse. Rätt att återkalla samtycke – Du har när som helst rätt att återkalla ett lämnat samtycke. Du kan när som helst själv ta bort ditt konto via instrumentpanelen (Profil → Konto → "Ta bort konto"). Detta avslutar eventuell aktiv prenumeration, anonymiserar din kontoinformation, mjukraderar de QR-koder du äger och tar bort din Auth0-identitet. För att utöva någon av övriga rättigheter ovan — eller för att begära radering av impressionsuppgifter som kvarstår efter kontoborttagning (se avsnitt 7) — ber vi dig kontakta Bolaget via kontaktformuläret. Du har även rätt att inge klagomål till Integritetsskyddsmyndigheten (IMY).
9. Tillsynsmyndighet
Integritetsskyddsmyndigheten (IMY) är ansvarig tillsynsmyndighet i Sverige. Du har rätt att lämna in klagomål till IMY om du anser att vår behandling av dina personuppgifter strider mot gällande dataskyddslagstiftning.